三、信息安全等級保護與復雜大網絡系統
信息系統安全等級保護的實現方法是,由簡到繁,從小到大,從里到外,實現縱深防護。對于復雜大系統安全等級防護的實現可簡化為:巨復雜大型信息系統 復雜大系統 大系統 局域網系統 信息安全處理環境(主機服務器)加安全終端。再復雜的大系統也可以簡化處理,簡化后的基本安全模型:局域信息安全處理環境+安全終端系統+安全通信線路,對大用戶量系統可設置集中式安全控制管理中心。復雜大網絡系統也是由包括安全處理環境、安全終端系統和安全通信線路等部分的多個子系統(局域網)組合而成的,安全等級保護完全可以從小從里做起,實現多級防范,縱深防護,并保障互聯互通互操作,有條件地進行信息共享。
四、信息安全等級保護與現有信息系統
當前的實際情況是,各部門、各單位早就建立了各自的信息系統,但其中絕大部分系統的應用業務并不多,效益不明顯。許多部門的業務辦理還停留在PC公文處理上,文件的簽發仍舊在紙面上。除應用開發和人們的習慣的改變緩慢等因素外,安全問題沒有從根本上得到解決也是關鍵因素。因此,實行信息安全等級保護,首先應當以等級保護的方法對現有系統進行加固改造,保障安全的互聯互通和信息共享,保障現有系統安全,使現有系統活起來,發揮現有系統在電子政務和電子商務方面的作用,而不是棄之不用或推倒重來,其次逐步考慮和解決大系統大平臺的安全問題。對互聯網的網管中心、關鍵節點、重要網站等,也可以實行等級保護,用等級保護辦法控制有害信息和數據對社會和網絡的危害。
五、信息系統安全管理與監督
信息系統安全等級保護實行自我保護和國家保護相結合。自我保護是指信息系統所屬部門和單位要對其系統安全保護負主要責任,尤其是要全面負責系統安全管理工作。鑒于信息安全事關國家主權、政治、經濟、社會、國防、公民合法權益保障,國家不可放任不管。因此,國家信息安全主管機關和信息安全相關職能部門有責任指導、監督、檢查信息系統所屬部門和單位做好信息系統安全管理。信息系統安全等級保護包括系統所屬部門和單位及其上級主管部門的自管、自查、自評和國家監管兩個方面,兩兩方面相結合形成安全保護機制,提高信息系統的安全保護能力和水平,保障國家信息安全。
六、信息系統安全等級保護各方責任關系
按照誰主管誰負責的原則,進一步明確以下各方的責任:
信息系統所屬部門和單位的責任。自我保護是指信息系統所屬部門和單位要對其系統安全保護負主要責任,尤其是要全面負責系統安全管理工作,建立信息系統系列安全管理制度,建立并落實安全責任制,明確各級的安全責任,按法律規定和安全等級標準的要求進行信息系統的建設和管理,在信息系統生命周期內進行自管、自查、自評。
信息安全等級保護監管機關的職責。有國家信息安全法定事權的職能部門是公安機關、國家保密部門、國家密碼管理部門。三部門依法行政,完善信息安全監督體系。
在社會信息化發展時期,公安機關肩負著鞏固黨的執政地位、維護國家長治久安、保障人民安居樂業的重大政治和社會責任。公安機關的總任務是維護國家安全和社會穩定,保障全面建設小康的社會環境。在信息安全保護方面,根據《人民警察法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》的規定,公安機關是信息系統安全保護工作的主管部門。在信息安全等級保護工作中,公安機關依法行政,以等級保護標準監督、檢查、指導基礎信息網絡和重要信息系統安全等級保護建設、管理。幫助和指導信息系統所屬部門和單位做好安全等級保護工作,對安全等級技術產品實行監管,對安全服務機構實施監管。
國家保密部門和國家密碼管理部門都有專門的法定職能,各自應當依照法定職能做好信息安全等級保護工作。
信息系統安全服務者、安全產品的研發者應當貫徹執行國家法律法規和標準做好信息系統安全服務工作,提供符合安全等級標準要求的技術產品。
七、安全管理與安全技術
信息系統是為滿足人的需求而建立的,信息系統的生命周期內的一切活動是有人介入、支配和使用的,甚至形成了信息系統網絡空間社會。因此信息安全重在管理。信息系統安全保護工作七分在于管理,三分在于技術支撐和保障。國家信息安全等級保護制度首先是信息安全等級保護管理制度。管理制度分總制度和專項制度,構成信息安全等級保護制度體系。總制度要求各部門、各單位根據其業務的重要程度、信息系統資源的經濟和社會價值級別及其面臨的風險,參照國家有關信息安全等級保護標準,確定相應的安全保護等級,并合理進行建設、使用、管理。
重要的專項制度包括:系統建設、運行、使用安全等級管理和風險管理制度;系統資源安全管理制度;用戶管理制度;信息分類分級管理制度;信息保密標識與管理制度;密碼使用管理制度;安全等級產品管理制度等。安全技術部分是指計算機及其安全功能構成的分安全級別的信息系統。分安全級別的安全信息系統,其安全功能和安全保護技術替人起了一定的安全管理和保護的作用。但是安全信息系統也需要由人來支配,因此,安全管理制度建設十分重要,實現嚴格管理、規范管理。
八、信息安全等級保護與國家安全
信息化發展涉及到各部門和社會各個領域。信息技術應用的滲透面更廣、更深。且信息化網絡化發展是全球范圍的。信息化的正面作用和影響力很大,但是如果忽視信息安全問題,其負面影響必然會顯現出嚴重的后果,如傳統的現實社會的違法、犯罪已經演變成網絡信息系統上的違法、犯罪,即利用網絡化的信息系統資源,針對信息系統,實施危害國家、社會、公民利益的行為,違法、犯罪分子、組織、集團跨國跨地區進行這類活動也是很方便的。各種類型的戰爭也會演變為信息戰。因此,國家必須從戰略上研究考慮信息安全問題。國家發展戰略和國家安全戰略都不可缺少信息安全部分,信息安全戰略是國家安全戰略的重要組成部分,也是國家發展戰略的重要組成部分。因此,信息安全等級保護必須在戰略上保持全國一盤棋。
九、信息安全等級保護與信息化發展
國家搞信息化建設的目的是為了加速工業化、現代化和經濟發展,為了國家更為強盛和經濟更為繁榮。但是如果沒有強大的安全保護體系作保障,各部門、各行業即使建立了網絡化的信息系統,重要的電子政務和電子商務應用業務也不敢上,沒有這些應用,就不會有安全需求。發展需要安全,沒有發展就沒有安全,沒有安全就不會有發展。安全需要發展,安全保障和促進發展。沒有信息科學技術和應用技術的發展,安全保護的科學技術也不會有大的發展。安全與發展的關系是發展為前提,安全為保障。信息安全本身也需要不斷發展和完善。
十、信息安全等級保護與國際接軌的有關問題
在信息系統網絡互聯互通的大環境大背景下,信息安全的實質就是保障和維護國家主權、國家安全社會秩序、穩定和安全、經濟安全與發展、公民合法權益。WTO游戲規則商業流通領域的規則,為了交流、吸收、發展,我們必須加入WTO,要與國際接軌。但是,信息安全直接涉及國家政治、經濟、國防、社會穩定與安全、人民生命財產安全的問題,這方面不在必須遵守的國際游戲規則之例。因此,國家信息安全無“國際接軌”可言,更不能簡單地談“遵守國際游戲規則”。WTO的例外條款(TBT協議)就是為各國劃出的自留地,WTO條款的制定者首先考慮的是自身利益,而不是他國的利益。因此,在國際接軌方面,我們決不可以“忘我”,“忘我”的后果必定是更嚴重的受制于人。
在信息安全標準化建設方面。信息安全必須實現規范化,信息安全標準化建設和安全標準實施的國家監管機制是信息安全等級保護規范化、制度化、法制化發展的首要條件,在信息安全標準化建設方面,我們要參照國外標準,但不能照搬,更不能把國際標準作為國家標準強制執行。我國的基礎信息技術和信息技術設備的核心部分基本上是國外的,在信息系統互聯互通的必然發展趨勢下,如果我們的信息安全標準不能保持獨立,沒有自己的標準體系,那么不論在發展方面,還是在安全方面,都是很危險的,也沒有地位、主動權和發言權。因此,我們必須建立國家信息安全標準體系。國際接軌要講原則,要有利于發展和安全兩個方面,而不是只顧一面,不管其他。為了發展,我們應當在大體上保持與國際接軌,目的是有利于吸收先進的東西,有利于自己發展,而在關鍵安全技術、實現安全的技術思路和管理體系方面,要保持獨立,目的是保護自己,保障安全,走出自己的路。
信息安全等級保護標準體系由以下不同層次的安全標準組成:
基礎性標準——作為信息安全保護等級劃分基礎的標準(GB17859-1999);
總體框架標準——為按等級保護的要求,實施信息系統安全從總體上提供指導的標準;
要求類系列標準——為按等級保護的要求,建設安全的信息系統從技術和管理方面提供指導的標準;
評估類系列標準——為按等級保護的要求,對安全的信息系統進行評估從技術和管理方面提供指導的標準;
實施指導類標準——從系統角度,對等級保護的具體實施提供指導的標準,包括信息安全等級保護實施指南、信息系統安全方案設計指南、信息安全等級保護監督檢查與管理工作手冊等;
各應用領域實施指導方案——按等級保護要求,對各個應用領域按照上述標準的要求建設安全的信息系統的參考性方案。
關于安全認證、認可與安全驗證、審批。所謂“認證”和“認可”兩個詞是翻譯過來的名詞,認證的同義詞還可以譯成“驗證”,認可同義詞還可以譯成“審批”、“授權”、“批準”。美國國家標準與技術研究所(NIST)最新提出的標準文本進一步明確規定,信息系統所屬部門和單位對的系統安全設計、工程實施、檢測驗收、投入運行、應用項目等進行檢測、檢查為安全檢查驗證。所謂“認可”,實際上是指信息系統所屬部門和單位將安全檢查驗證的結果報上級主管里領導或部門管理層對有關信息系統安全的驗證結果報告進行審查和批準,決定是否授權準予投入使用或批準某項安全方案等。
在我國,根據國家有關法律法規的規定,認可還包括國家信息安全職能部門的對信息系統安全保護等級監督、檢查、許可。
在產品流通領域里,認證是指檢驗質量檢驗結果的認定。認可是指產品檢驗檢測機構資質的認定。互認是指國際商品流通領域的對商品質量的相互承認。但互認的范圍是有限的,特別是信息安全保護領域的信息技術安全產品的互認更有限。因為信息安全事關國家安全和主權,越是重要的安全技術產品越不能互認,人家也不會與我們互認,這是事實,也是國際商業關系中的常識。各國都不會拿帶有信息安全保護技術訣竅的產品與別人互認,重要的產品出口都要經過嚴格控制或審批。
十一、信息系統安全分級保護與信息安全技術產品分級管理
信息安全等級保護產品是指對信息系統安全等級保護功能起支撐作用的信息技術產品。重要、關鍵的信息安全等級保護技術和產品是國家信息安全之安全。信息安全等級保護產品是國家信息等級保護的基礎,沒有符合國家信息安全等級保護標準的系列產品,信息信息系統就無法實現安全等級保護。國家基礎信息網絡和重要信息系統等級保護建設與管理所需的系列信息安全等級保護產品的可靠和可控性是國家信息安全等級保護之關鍵。信息安全等級保護產品同樣要受國家信息安全等級保護制度的保護。
信息安全等級保護產品也是實行等級保護制度的管理與技術措施的基礎,沒有信息安全等級保護管理與技術措施,等級保護制度的貫徹實施也就不能得到保障。不同安全等級保護的信息系統必須由相應安全保護級別的產品構建,安全等級保護產品失控就等于國家信息系統安全失控,也等于失去了安全等級保護制度實施的基礎保障。目前,國家信息安全保護科學技術水平低,關鍵技術和產品缺乏,技術產品功能自主可控能力不強,核心技術不掌握在國人手中,特別是基礎信息網絡和重要信息系統關鍵設備基本依賴國外,國家網絡和國際網絡互聯的發展,網絡遠程訪問控制技術的廣泛使用,國外信息技術產品已經在國家、組織和個人工作、生活中的廣泛使用,而信息技術產品中的漏洞、“后門”、“遠程鑰匙”、“非正常功能”和各種惡意代碼、指令、程序已經成為世人皆知的信息安全問題。
因此,國家安全等級保護技術產品應當實行分類管理政策,分政府用、軍用、商用三類實行特別安全管理政策。國外早就實行了這種政策。國家基礎信息網絡和重要信息系統所用的安全等級保護功能技術產品:由政府信息安全職能部門從研發、生產、銷售、采購使用諸環節嚴格的分級管理;軍用信息安全等級保護技術產品有軍隊有關部門進行管理;普通商用信息技術產品可實行質量管理,進行國際交流互認。
